Anzeige

Anzeige

VERANSTALTUNGEN

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

3. DIGITAL MARKETING 4HEROES CONFERENCE
08.10.19 - 08.10.19
In Wien

it-sa 2019
08.10.19 - 10.10.19
In Nürnberg, Messezentrum

3. DIGITAL MARKETING 4HEROES CONFERENCE
15.10.19 - 15.10.19
In München

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

Anzeige

Anzeige

Datenverlertzung Schloss 765628591 700

Systeme, Technologien und Bedrohungen verändern sich. Und genau das sollte Ihr Reaktionsplan auch tun. Wir haben drei wesentliche Schritte zusammengestellt, wie Sie nach einer Datenschutzverletzung praktisch am besten vorgehen. 

Unternehmen befassen sich oftmals so intensiv mit Maßnahmen zur Verhinderung eines Sicherheitsvorfalls dass sie dabei einen der wichtigsten Schritte gerne aus den Augen verlieren. Nämlich den, zu verstehen, was genau passiert ist, wenn es zu einer Datenschutz-verletzung gekommen ist. Prävention ist nur die eine Seite der Gleichung. Unternehmen beginnen die Vorteile darin zu erkennen, eine Datenschutzverletzung exakt zu analysieren. Dazu gehören beispielsweise zukünftige Kosteneinsparungen bei der forensischen Analyse, etwa durch ein effizienteres Störfallmanagement. Aber wie bei den meisten IT-Sicherheitsmaßnahmen gibt es noch ausreichend Luft nach oben.

Hier sind drei wichtige Schritte wie man das Assessment nach einer Datenschutzverletzung mithilfe von Best-Practices umsetzt und sich damit vor zukünftigen Angriffen besser schützt.

Potenzielle Datenquellen identifizieren

Nach einem Datenschutzvorfall ist die einfache Frage „Wer hat was wann getan?“ eine der wichtigsten und zugleich eine der am schwersten zu beantwortenden. Wenn es zu einem Vorfall gekommen ist, wollen die betroffenen Unternehmen so schnell wie möglich die Ursache klären. Dies dient vornehmlich dazu beurteilen zu können, ob weitere Daten gefährdet sind und eine Ausweitung des Vorfalls zu verhindern.

Typische Datenquellen zur Untersuchung eines Vorfalls sind Sicherheits- und Betriebsprotokolle sowie Protokolle von Remote-Zugriffen. Protokolle, die auf Servern, Clients, Betriebssystemen, Datenbanken, Netzwerken und Sicherheitsgeräten anfallen. Die Untersuchung unterstützt die Ursachenforschung und lässt Zusammenhänge zwischen einer Reihe von Ereignissen erkennen, die nicht unmittelbar ersichtlich sind. Die Auswertung der Log-Daten hat jedoch ihre Grenzen.

Ein Beispiel: verlässt sich ein Unternehmen alleine auf die Analyse dieser Daten, riskiert es komplexe Attacken zu übersehen, die auf Aktivitäten eines privilegierten Nutzers zurückgehen. Darüber hinaus sind erfahrene Angreifer genauso wie ein böswillig agierender Systemadministrator problemlos in der Lage, relevante Protokolldaten zu löschen oder so zu verändern, dass alle Spuren verwischt sind. Der Verlust solcher Informationen kann zu Fehlern bei der Analyse führen und zugleich die Kosten in die Höhe treiben. Ganz abgesehen davon, dass das betroffene Unternehmen nur verspätet auf einen Vorfall reagieren kann oder die Datenschutzverletzung sogar gänzlich unentdeckt bleibt. Der schlimmste Albtraum eines jeden Unternehmens.

Als Gegenmaßnahme sollte sich ein IT-Sicherheitsteam auf zusätzliche Ressourcen stützen können wie etwa Session Audits (detaillierte Aufzeichnungen von Benutzersitzungen) und Verhaltensanalysen (erkennen anomaler Aktivitäten, die von einer zuvor definierten Norm abweichen). Dadurch wird der komplette Kontext einer verdächtigen Benutzeraktivität sichtbar und im Verdachtsfall können Alarme generiert werden.

Biometrische Merkmale und Sitzungsdaten – dazu gehören charakteristische Mausbewegungen, die Art des Tastenanschlags Logindaten, eingegebene Befehle und während einer Session geöffnete Fenster werden in manipulationssichere Audit Trails gespeichert. Mit ihnen lassen sich die Aktivitäten eines Benutzers exakt nachvollziehen. Kombiniert mit den Protokolldaten erlaubt diese Art des Monitorings einen zeitlichen Verlauf von Aktivitäten zu erstellen – und dieser ist unerlässlich sowohl für die Analyse in Echtzeit als auch für sämtliche Untersuchungen in der Folge eines Datenschutzvorfalls. 

Die Daten. Erfassen, verifizieren und extrahieren Sie die betroffenen Daten

Wenn potenzielle Datenquellen identifiziert sind, müssen relevante Daten erfasst und – als wichtiger Schritt – ihre Integrität festgestellt werden, bevor mit der Untersuchung fortgefahren werden kann.
Logmanagement-Tools helfen dabei, Protokolldaten von einer Vielzahl unterschiedlicher Quellen zentral zu sammeln, zu filtern, zu normalisieren und zu speichern. Sollte es sich um ein Szenario handeln bei dem privilegierte Benutzerkonten missbraucht wurden, sind die aufgezeichneten Audit Trails ebenfalls in den Plan zur Datenerfassung mit aufzunehmen.

Hat man die Daten erfasst, ist es entscheidend zu überprüfen, dass diese nicht manipuliert sind. Das ist insbesondere im Fall eines juristischen Nachweises von erheblicher Bedeutung.

Moderne forensische Tools schützen vor Datenmanipulation indem sie Daten verschlüsseln, mit Zeitstempel versehen und sie digital signieren. Zudem sichern sie vertrauliche Informationen zusätzlich über granulare Zugriffsrichtlinien ab. Nachdem alle Daten erhoben und verifiziert worden sind, geht es daran die relevanten Informationsbausteine zu bewerten und zu extrahieren. Auch hier helfen forensische Tools, zügig den Zeitpunkt zu lokalisieren an dem das verdächtige Ereignis aufgetreten ist. Die Protokolldaten mit den Metadaten der aufgezeichneten Sessions zu kombinieren beschleunigt die Untersuchung von Vorfällen in Zusammenhang mit privilegierten Konten. 

Führen Sie eine vollständige Analyse durch

Auf die Datenextraktion folgt die Analyse.  Dabei sind hinsichtlich des Datenschutzvorfalls Fragen nach dem wer, was, wo, wann, warum und wie zu beantworten. Die Grundlage einer guten forensischen Analyse ist ein methodischer Ansatz. Er gewährleistet, dass auf Basis der verfügbaren Daten angemessene Schlussfolgerungen gezogen werden oder zu der Erkenntnis gelangt wird, dass es nur eine mögliche Schlussfolgerung gibt.

Externe Anbieter unterstützen Unternehmen dabei, vollständige Assessments durchzuführen. Die Palette reicht von der Einschätzung informationstechnologischer Risiken über die Analyse von Netzwerkschwachstellen bis hin zu Penetrationstests. Es gibt noch eine ganze Reihe weiterer Assessmenttypen, die potenzielle Schwachstellen aufdecken helfen und beim Ergreifen geeigneter Schutzmaßnahmen unterstützen. Solche Risikoevaluierungen versetzen ein Unternehmen in die Lage einen geeigneten Reaktionsprozess zu etablieren, der dann im Falle zukünftiger Datenschutzverletzungen greift.

Solange Daten einem Risiko ausgesetzt sind, wird es Datenschutzverletzungen geben – beabsichtigte und nicht beabsichtigte. Wer sich allerdings die Mühe einer umfassenden Risikoeinschätzung und Analyse nach einem erfolgten Datenschutzvorfall macht, der kann einen durchdachten Reaktionsplan entwickeln. Dazu gehört es Risiken und Abwehrmaßnahmen zu priorisieren, die Sicherheit unternehmenskritischer Werte zu gewährleisten und im Krisenfall den Plan effektiv umzusetzen.

Systeme, Technologien und Bedrohungen verändern sich. Ihr Reaktionsplan sollte das auch tun. IT-Sicherheitsteams sollten wenigstens ein Mal im Jahr ein entsprechendes Audit durchführen und den Reaktionsplan auf seine Tauglichkeit im Krisenfall testen. 

Und natürlich um festzustellen, ob der Plan in dieser Form überhaupt noch relevant ist. Auf diese Weise minimiert man zukünftige Risiken und ist gleichzeitig in der Lage, die Verantwortlichkeiten kontinuierlich abzustimmen.

Jackson Shaw, Vice President, One Identity  

www.oneidentity.com/de-de/

GRID LIST
Top Secret

Das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Nicht alle Unternehmensinformationen sind für fremde Ohren bestimmt. Wissen ist Macht,…
Breach

Warum bleiben so viele Datenschutzverstöße so lange unentdeckt?

Obwohl ständig neue Cybersicherheitstechnologien auf den Markt kommen und…
Frau mit Lupe

Kartenzahlungsvorgänge unter der Datenschutzlupe

Anfang September 2018 gab British Airways bekannt, eine massive Datenschutzverletzung…
EU-Flagge und USA-Flagge

CLOUD Act - Schatten über der DSGVO

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In…
Verschlüsselungslösung

Tool „Panda Full Encryption“ ist da

Sie kommt als umfassende Verschlüsselungslösung für Laufwerke von PCs, Laptops und…
E-Mail

MTA-STS: Neuer Verschlüsselungsstandard zwischen Mailservern

MTA-STS steht für “Mail Transfer Agent – Strict Transport Security”. Der neue Standard…